Juniper vSRX Virtual Firewall을 Oracle Cloud에 설치해 보았습니다.

■목적



주니퍼 SRX 은 차세대 위협 방어형 방화벽입니다.
방화벽 및 IPSec VPN 기능 외에도 IPS, 안티 바이러스, 안티 스팸, URL 필터링, 콘텐츠 필터링 등 다양한 UTM 기능 및 애플리케이션 시각화, 애플리케이션 액세스 제어, SSL 프록시 등 최신 차세대 방화벽 기능 제공
그래서 Juniper 가상 보안 어플라이언스 인 vSRX Virchl Firewall을 Oracle Cloud Infrastructure (OCI)에 배포하려고했습니다.

■구성





■ 절차 개요


1. VCN設定
2. OCI用vSRXカスタムイメージ作成
3. vSRXインスタンス作成
4. vSRXインスタンス設定
4. 接続確認

■ vSRX 다운로드



vSRX 60일 무료 평가판 qcow2 vSRX KVM Appliance 다운로드


■VCN 설정



구성도와 같이 VCN을 설정합니다.

● vSRX 용 서브넷 생성 :


1. Public Subnet (10.0.0.0/24) : Management Interface用 
2. Public Subnet (10.0.2.0/24) : Public Access Interface用
3. Private Subnet(10.0.3.0/24) : Private Access Interface用



■ vSRX 사용자 정의 이미지 생성



●Upload Object Storage



· vSRX qcow2 파일을 Object Storage로 업로드


● 업로드 된 파일의 PAR (Pre-Authenticated Requests) 생성



① Upload한 파일을 선택하고 Pre-Authenticated Requests를 클릭


② 아래와 같이 기본 설정에서 [Create Pre-Authenticated Request]를 클릭


③ 작성된 PRE-AUTHETICATED REQUEST URL 복사


● Import Image



[Compute] > [Customer Omages] 화면에서 [Import Image]를 클릭하고 아래와 같이 설정한 다음 [Create]를 클릭하여 작성
・POERATING SYSTEM:Linuxを選択
・OBJECT STORAGE URL:PAR作成でコピーしたURLを記入
・IMAGE TYPE:QCOW2を選択
・LAUNCH MODE:PARAVIRTUAL MODEを選択



● vSRX 인스턴스 생성



Compute > Customer Images 화면에서 Import된 Image의 Create instance를 클릭하고 다음과 같이 설정하고 Create를 클릭합니다.
・Choose instance shape : vNICを3つ以上付与できるVM.Standard2.4以上を選択
・Subnet : Management Intarfese用Subnetを選択
・Network > Private IP address: Management Intarfese用IPを設定
・Assign public IP adress



● vNIC 추가



①ge-0/0/0용 VNIC 추가
생성한 vSRX 인스턴스 화면에서 "Attached VNICs"를 클릭하고 다음과 같이 설정
・VIRTUAL CLOUD NETWORK:ge-0/0/0用VCNを選択
・SUBNET:ge-0/0/0用Subnetを選択
・Skip Source/Destination Check: ge-0/0/1へIPが通るようにチェック
・PRIVATE IP ADDRESS:設定するIPアドレスを記入



②ge-0/0/1용 VNIC 추가
・VIRTUAL CLOUD NETWORK:ge-0/0/1용 VCN을 선택
・SUBNET:ge-0/0/1용 Subnet을 선택
· Skip Source/Destination Check : ge-0/0/0에 IP가 통과하도록 확인
· PRIVATE IP ADDRESS : 설정할 IP 주소를 기입



③vNIC 추가 후 인스턴스 재부팅
추가한 vNIC를 인식하도록 인스턴스 재부팅

■ vSRX 로그인



● Console Connection 만들기



vSRX에 콘솔 연결을 위한 설정 수행
① 작성하 인스턴스 화면에 있는 「Console Connections」화면으로 천이하고, [Create Console Connection]을 클릭하고, 아래와 같이 설정하고,
아래 화면과 같이 PLATFORM을 Linux를 선택하고 출력된 CONNECTSION STRING을 복사

● vSRX에 로그인



①Create Console Connection 수정
복사한 문자열로 설정한 RSA 키를 사용하도록 2개소의 ssh 부분에 다음과 같이 "-i id_rsa(ssh 접속용 RSA 키)"를 추가

・수정 전
ssh -o ProxyCommand='ssh -W %h:%p -p 443 ocid1.instanceconsoleconnection.oc1.ca-tokyo-1.ab2i6klqq@instance-console.ca-tokyo-1.oraclecloud.com' ocid1.instance.oc1.ca-tokyo-1.ab2

・수정 후
ssh -i id_rsa -o ProxyCommand='ssh -i id_rsa -W %h:%p -p 443 ocid1.instanceconsoleconnection.oc1.ca-tokyo-1.ab2i6klqq@instance-console.ca-tokyo-1.oraclecloud.com' ocid1.instance.oc1.ca-tokyo-1.ab2

② 콘솔 로그인
[opc@inst1 ~]$ ssh -i id_rsa -o ProxyCommand='ssh -i id_rsa -W %h:%p -p 443 ocid1.instanceconsoleconnection.oc1.ca-tokyo-1.ab2i6klqq@instance-console.ca-tokyo-1.oraclecloud.com' ocid1.instance.oc1.ca-tokyo-1.ab2
    The authenticity of host 'ocid1.instanceconsoleconnection.oc1.phx.ab (<no hostip for proxy command>)' can't be established.
    RSA key fingerprint is SHA256:4o1qFeFi8FZ5A.
    RSA key fingerprint is MD5:ab:dc:e9::16:12:9.
    Are you sure you want to continue connecting (yes/no)? yes
    Warning: Permanently added 'ocid1.instanceconsoleconnection.oc1.phx.abyhqljrpad42' (RSA) to the list of known hosts.


    Amnesiac (ttyd0)

    login: root

--- JUNOS 15.1X49-D140.3 built 2018-09-15 19:43:52 UTC

root@%

● 관리자 모드로 이동


root@% cli
root> configure exclusive
    warning: uncommitted changes will be discarded on exit
    Entering configuration mode

[edit]
root#

●루트 비밀번호 설정


root# set system root-authentication plain-text-password
    New password:
    Retype new password:

● 타임존 「JST」설정


[edit]
root# set system time-zone Asia/Tokyo

■interface 설정



● management interface 설정


set interfaces fxp0 unit 0 family inet address 10.0.0.254/24
set routing-options static route 0.0.0.0/0 next-hop 10.0.0.1
activate interfaces fxp0

●Public Interface:ge-0/0/0 설정


set interfaces ge-0/0/0 unit 0 family inet address 10.0.2.254/24
set routing-options static route 0.0.0.0/0 next-hop 10.0.0.1
activate interfaces ge-0/0/0

●Private Interface:ge-0/0/1 설정


set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.254/24
set routing-options static route 0.0.0.0/0 next-hop 10.0.2.254
activate interfaces ge-0/0/1

●Virtual Router 설정



Manegement용 fxp0.0, VR01 Network용 ge-0/0/0.0,ge-0/0/1.0,st0.1,st0.2 설정
set routing-instances VR01 instance-type virtual-router
set routing-instances VR01 interface ge-0/0/0.0
set routing-instances VR01 interface ge-0/0/1.0
set routing-instances VR01 interface st0.1
set routing-instances VR01 interface st0.2
set routing-instances VR01 routing-options static route 0.0.0.0/0 next-hop 10.0.2.1

●interface 설정 확인


root> show interfaces terse
    Interface               Admin Link Proto    Local                 Remote
    ge-0/0/0                up    up
    ge-0/0/0.0              up    up   inet     10.0.2.254/24
    gr-0/0/0                up    up
    ip-0/0/0                up    up
    lsq-0/0/0               up    up
    lt-0/0/0                up    up
    mt-0/0/0                up    up
    sp-0/0/0                up    up
    sp-0/0/0.0              up    up   inet
                                                                        inet6
    sp-0/0/0.16383          up    up   inet
    ge-0/0/1                up    up
    ge-0/0/1.0              up    up   inet     10.0.10.254/24
    ・・・
    fxp0                    up    up
    fxp0.0                  up    up   inet     10.0.0.254/24
    gre                     up    up
    ipip                    up    up
    irb                     up    up
    lo0                     up    up
    lo0.16384               up    up   inet     127.0.0.1           --> 0/0
    lo0.16385               up    up   inet     10.0.0.1            --> 0/0
                                                                                            10.0.0.16           --> 0/0
                                                                                            128.0.0.1           --> 0/0
                                                                                            128.0.0.4           --> 0/0
                                                                                            128.0.1.16          --> 0/0
    ・・・

● ssh 활성화


[edit]
root# set system services ssh
root# set system root-authentication ssh-rsa "ssh-rsa AAAA"

● 웹 콘솔 설정


[edit]
root# set system services web-management http interface fxp0

● 저장


[edit]
root# commit
commit complete

■ 라이센스 등록



● 라이센스 취득



여기에 vSRX 60일 무료 평가판 에서 라이센스를 얻습니다.


● 라이센스 등록


root> request system license add terminal
[Type ^D at a new line to end input,
 enter blank line between each license key]
 ==> ライセンスを記入して Conrol+D 
    DEMO123890 testdesu apaeor bqihmu arwhqb impacr ygk4sf
            embrgu ozqyb  4altdy 2slawu u5lonf i6bmed
            ydgmbz


DEMO123890: successfully added
add license complete (no errors)

● 라이센스 등록 확인


root> show system license
    License usage:
                                                                    Licenses     Licenses    Licenses    Expiry
        Feature name                       used    installed      needed
        anti_spam_key_sbl                     0            1           0    30 days
        idp-sig                               0            1           0    30 days
        appid-sig                             0            1           0    30 days
        av_key_sophos_engine                  0            1           0    30 days
        wf_key_websense_ewf                   0            1           0    30 days
        Virtual Appliance                     1            1           0    58 days
        remote-access-ipsec-vpn-client        0            2           0    permanent

    Licenses installed:
        License identifier: DEMO123890
        License version: 4
        Software Serial Number: 20150309
        Customer ID: vSRX-JuniperEval
        Features:
            idp-sig          - IDP Signature
                count-down, Original validity: 30 days
            wf_key_websense_ewf - Web Filtering EWF
                count-down, Original validity: 30 days
            anti_spam_key_sbl - Anti-Spam
                count-down, Original validity: 30 days
            appid-sig        - APPID Signature
                count-down, Original validity: 30 days
            av_key_sophos_engine - Anti Virus with Sophos Engine
                count-down, Original validity: 30 days

        License identifier: DEMO123890
        License version: 4
        Software Serial Number: 20150625
        Customer ID: vSRX-JuniperEval
        Features:
            Virtual Appliance - Virtual Appliance
                count-down, Original validity: 60 days

■ vSRX 액세스 확인



● ssh 연결 확인


OnP-inst01:~ user$ ssh [email protected]
    The authenticity of host '100.100.100.101 (100.100.100.101)' can't be established.
    ECDSA key fingerprint is SHA256:ABzx/RxtEmcWWZw6XZ89.
    Are you sure you want to continue connecting (yes/no)? yes
    Warning: Permanently added '100.100.100.101' (ECDSA) to the list of known hosts.
    Password:
    Last login: Fri Jun 14 23:43:21 2019
    --- JUNOS 15.1X49-D140.3 built 2018-09-15 19:43:52 UTC

root@%

● 웹 액세스 확인



① VCN 설정으로 80 포트 액세스를 허용하고 vSRX 인스턴스의 퍼블릭 IP로 액세스
htp://100.100.100.101/㎉



② root 사용자로 액세스할 수 있는지 확인


■참고



· 【SRX】JUNOS 핸즈온 트레이닝 자료 SRX 시리즈 서비스 게이트웨이 코스
· vSRX Deployment Guide for KVM
· vSRX Documentation

좋은 웹페이지 즐겨찾기